【導(dǎo)讀】GitLab最近又被DDoS攻擊給盯上了，峰值流量超1 Tbps。此次攻擊的漏洞來(lái)源于4月份已經(jīng)修復(fù)的bug，但仍有30000臺(tái)未安裝更新的服務(wù)器遇難。

GitLab 又被分布式拒絕服務(wù)（DDoS）攻擊了！

負(fù)責(zé)谷歌DDoS防御的云安全可靠性工程師Damian Menscher最近披露，有攻擊者正在利用 GitLab 托管服務(wù)器上的安全漏洞來(lái)構(gòu)建僵尸網(wǎng)絡(luò)，并發(fā)起規(guī)模驚人的分布式拒絕服務(wù)攻擊（DDoS）。其中一些攻擊的峰值流量，甚至超過(guò)了1 Tbps 。

本次攻擊利用的漏洞編號(hào)為CVE-2021-22205，GitLab曾在2021年4月修復(fù)該漏洞。

此次攻擊由 William Bowling發(fā)現(xiàn)，并通過(guò)Bug Bount報(bào)告給GitLab，漏洞主要影響的組件是Exiftool，可以用于從上載到Web服務(wù)器的圖像中刪除元數(shù)據(jù)的庫(kù)。

GitLab 在他們私有版本GitLab Community Edition（CE）和Enterprise Edition（EE）中使用Exiftool，也就是GitLab服務(wù)的開(kāi)源和商業(yè)版本，公司可以在自己的服務(wù)器上安裝，用于在安全環(huán)境中處理私有代碼，而不必使用GitLab的云服務(wù)。

在通過(guò)Hackerone提交的一份報(bào)告中，Bowling說(shuō)他發(fā)現(xiàn)了一種濫用Exiftool處理用于掃描文檔的DJVU文件格式上傳的方法，以獲得對(duì)整個(gè)GitLab Web服務(wù)器的控制權(quán)。

據(jù)意大利安全公司HN Security稱，利用這一漏洞的攻擊始于今年6月，該公司上周首次報(bào)告了漏洞的使用跡象。

當(dāng)時(shí)安全研究員Piergiovanni Cipolloni表示，在發(fā)現(xiàn)有隨機(jī)命名的用戶被添加到受感染的GitLab服務(wù)器后，他們隨即對(duì)此展開(kāi)了調(diào)查。這些用戶很可能是由攻擊者一手創(chuàng)建，旨在對(duì)受害系統(tǒng)實(shí)施遠(yuǎn)程控制。

盡管HN Security尚不清楚這些攻擊的目的，但Google工程師Damian Menscher已于昨日表示，被黑服務(wù)器屬于某個(gè)巨型僵尸網(wǎng)絡(luò)的一部分。

該網(wǎng)絡(luò)包含成千上萬(wàn)個(gè)受感染的GitLab實(shí)例，且正被用于發(fā)起大規(guī)模的DDoS攻擊。遺憾的是，盡管GitLab已于2021年4月完成了修補(bǔ)，仍有大約30000個(gè)GitLab服務(wù)器尚未打上補(bǔ)丁。

這說(shuō)明了什么？不要禁用安全更新！當(dāng)然了，Windows更新的開(kāi)啟和關(guān)閉是一個(gè)玄學(xué)問(wèn)題。

值得注意的是，GitLab問(wèn)題核心的Exiftool漏洞（CVE-2021-22204）也可能影響部署該工具的其他類型的Web應(yīng)用程序，，其他類型的Web應(yīng)用程序也可能需要修補(bǔ)。

防止攻擊的簡(jiǎn)單方法是阻止DjVu文件在服務(wù)器級(jí)別上載，如果公司不需要處理此文件類型的話。

DDoS（分布式拒絕服務(wù)）實(shí)際上是一種常見(jiàn)的網(wǎng)絡(luò)攻擊，亦稱洪水攻擊，其目的在于使目標(biāo)電腦的網(wǎng)絡(luò)或系統(tǒng)資源耗盡，使服務(wù)暫時(shí)中斷或停止，導(dǎo)致其正常用戶無(wú)法訪問(wèn)。當(dāng)黑客使用網(wǎng)絡(luò)上兩個(gè)或以上被攻陷的電腦作為「僵尸」向特定的目標(biāo)發(fā)動(dòng)「拒絕服務(wù)」式攻擊時(shí)，稱為分布式拒絕服務(wù)攻擊。

就是說(shuō)服務(wù)器的流量都被用于服務(wù)僵尸網(wǎng)絡(luò)了，當(dāng)正常用戶訪問(wèn)時(shí)，已經(jīng)沒(méi)有多余的能力來(lái)應(yīng)對(duì)了，對(duì)于用戶來(lái)說(shuō)網(wǎng)站癱瘓了。

首先，DDoS攻擊會(huì)拒絕訪問(wèn)你的網(wǎng)站或服務(wù)。攻擊者濫用受感染或配置錯(cuò)誤的機(jī)器（服務(wù)器，路由器甚至PC機(jī)）的網(wǎng)絡(luò)，以向單個(gè)系統(tǒng)生成大量虛假流量，從而使其暫時(shí)不可用。

并且大多數(shù)托管和云提供商會(huì)向其客戶收取額外的帶寬或計(jì)算能力。如果啟用了自動(dòng)擴(kuò)展，則在遭受DDoS攻擊時(shí)，入口流量激增和基礎(chǔ)架構(gòu)可能會(huì)開(kāi)始快速擴(kuò)展，本月Internet流量和計(jì)算資源費(fèi)用不斷增加，導(dǎo)致更高的運(yùn)營(yíng)成本。

由于數(shù)據(jù)庫(kù)和系統(tǒng)不堪重負(fù)，未保存的工作可能不會(huì)被存儲(chǔ)或緩存。對(duì)于處理關(guān)鍵任務(wù)工作負(fù)載或運(yùn)行某些數(shù)據(jù)一致性至關(guān)重要的在線事務(wù)處理應(yīng)用程序的企業(yè)而言，這可能是一個(gè)至關(guān)重要的問(wèn)題。

服務(wù)器日志將與數(shù)千個(gè)攻擊日志混在一起，因此將很難進(jìn)行過(guò)濾和檢查一切是否正常。另外，你可能設(shè)置了if-then規(guī)則，并使系統(tǒng)自反應(yīng)。在這種情況下，混雜的日志可能會(huì)對(duì)系統(tǒng)造成實(shí)際損害，從而給你造成很大的影響。

DDoS還可以用作服務(wù)錯(cuò)亂這種攻擊技術(shù)。當(dāng)管理人員忙于過(guò)濾流量時(shí)，可能會(huì)同時(shí)執(zhí)行小的破壞性攻擊。這種相似的攻擊方式曾經(jīng)對(duì)號(hào)稱世界上最安全的比特幣錢包Electrum進(jìn)行過(guò)。

當(dāng)時(shí)來(lái)自超過(guò)15萬(wàn)個(gè)受感染主機(jī)的巨大DDoS攻擊被發(fā)往Electrum網(wǎng)絡(luò)，中斷了所有用戶的交易。同時(shí)，網(wǎng)絡(luò)釣魚(yú)攻擊迫使惡意消息彈出給客戶端，要求他們更新軟件。然后，人們錯(cuò)誤地安裝了惡意軟件，該惡意軟件立即將所有的賬戶余額都轉(zhuǎn)向了攻擊者的錢包。

2017年時(shí)，GitLab就發(fā)生過(guò)不小心刪除了數(shù)據(jù)庫(kù)導(dǎo)致網(wǎng)站下線的事故。

Gitlab遭受了惡意郵件發(fā)送者的DDoS攻擊，導(dǎo)致數(shù)據(jù)庫(kù)寫(xiě)入鎖定，網(wǎng)站出現(xiàn)不穩(wěn)定和宕機(jī)，在阻止了惡意郵件發(fā)送者之后，運(yùn)維人員開(kāi)始修復(fù)數(shù)據(jù)庫(kù)不同步的問(wèn)題，在修復(fù)過(guò)程中，錯(cuò)誤的在生產(chǎn)環(huán)境上執(zhí)行了數(shù)據(jù)庫(kù)目錄刪除命令，導(dǎo)致300GB數(shù)據(jù)被刪除，Gitlab被迫下線。

在試圖進(jìn)行數(shù)據(jù)恢復(fù)時(shí)，發(fā)現(xiàn)只有 db1.staging的數(shù)據(jù)庫(kù)可以用于恢復(fù)，其它五種備份機(jī)制均無(wú)效。db1.staging是6小時(shí)前的數(shù)據(jù)，而且傳輸速率有限，導(dǎo)致恢復(fù)進(jìn)程緩慢。

Gitlab第一時(shí)間在Twitter上對(duì)事件的處置狀態(tài)進(jìn)行實(shí)時(shí)更新，后來(lái)索性在 Youtube上開(kāi)了頻道直播恢復(fù)進(jìn)程，網(wǎng)站恢復(fù)了正常后，gitlab還是丟掉了差不多6個(gè)小時(shí)的數(shù)據(jù)。

2018年時(shí)，GitHub也曾遭受過(guò)DDoS攻擊，峰值流量甚至達(dá)到了1.3 Tbps，在當(dāng)時(shí)堪稱史上最嚴(yán)重的DDoS攻擊。GitHub受到攻擊后，服務(wù)器斷斷續(xù)續(xù)，無(wú)法訪問(wèn)。攻擊發(fā)生10分鐘后，GitHub向CDN服務(wù)商Akamai請(qǐng)求協(xié)助，訪問(wèn)GitHub的流量由后者接管。

Akamai用多種方式防御這次攻擊。除了通用DDoS防御基礎(chǔ)架構(gòu)之外，該公司最近還針對(duì)源自memcached服務(wù)器的DDoS攻擊實(shí)施了特定的緩解措施。

網(wǎng)絡(luò)監(jiān)測(cè)和輿情分析公司ThousandEyes表示「這次防御做的很出色，一切都在15-20分鐘內(nèi)完成。如果看一下統(tǒng)計(jì)數(shù)據(jù)，就會(huì)發(fā)現(xiàn)，單獨(dú)的DDoS攻擊檢測(cè)通常都要一個(gè)小時(shí)，而這次20分鐘內(nèi)搞定」。

Akamai懷疑攻擊者僅僅是因?yàn)镚itHub很高端，知名度很高，所以鎖定了GitHub作為目標(biāo)。而防御措施太快，持續(xù)時(shí)間相當(dāng)短，可能還沒(méi)來(lái)的及要贖金，一切就結(jié)束了。

目前防御手段的發(fā)展也很快，在2020年時(shí)，AWS報(bào)告說(shuō)2月檢測(cè)到2.3Tb的DDos攻擊，持續(xù)了三天，意圖癱瘓AWS，但沒(méi)有成功。

規(guī)模來(lái)看雖然達(dá)到了2018年GitHub的兩倍，但防御起來(lái)顯然比之前更輕松。

但I(xiàn)BM就相對(duì)比較慘了，2020年6月11日，IBM聲明稱，云業(yè)務(wù)宕機(jī)事件是由第三方網(wǎng)絡(luò)提供商非預(yù)期地調(diào)整IBM對(duì)外網(wǎng)絡(luò)路由，導(dǎo)致其全球流量一度嚴(yán)重受阻。聲明中還提到，整個(gè)事件持續(xù)時(shí)間是從北京時(shí)間6月10日早上5:55到早上9:30。兩個(gè)小時(shí)后該公司再次發(fā)推表示，所有的IBM云服務(wù)已重啟。

IBM宣布了這次事故歸咎于「外部網(wǎng)絡(luò)提供商用錯(cuò)誤的路由癱瘓了IBM云網(wǎng)絡(luò)」。然而，Techzim從一個(gè)技術(shù)來(lái)源處收到了一份信息，該技術(shù)來(lái)源自始至終都在監(jiān)視停機(jī)情況，并顯示了IBM云網(wǎng)絡(luò)本身發(fā)生的問(wèn)題。

所以說(shuō)，如果一家云公司一年沒(méi)有幾次大事故，那它就不能稱之為云巨頭。

參考資料：

https://therecord.media/gitlab-servers-are-being-exploited-in-ddos-attacks-in-excess-of-1-tbps/

本文來(lái)自微信公眾號(hào)“新智元”（ID:AI_era），編輯：LRS，36氪經(jīng)授權(quán)發(fā)布。

關(guān)鍵詞： 峰值 服務(wù)器 Tbs